Information Security

30
1 Information Information Security Security Edhot Purwoko,ST,MTI Edhot Purwoko,ST,MTI

description

Information Security. Edhot Purwoko,ST,MTI. Organizational Needs for Security and Control. Pengalaman menginspirasikan industri untuk: Menempatkan keamanan pencegahan tindakan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau kehancuran. - PowerPoint PPT Presentation

Transcript of Information Security

Page 1: Information Security

11

Information SecurityInformation Security

Edhot Purwoko,ST,MTIEdhot Purwoko,ST,MTI

Page 2: Information Security

4

Organizational Needs for Organizational Needs for Security and ControlSecurity and Control

►Pengalaman menginspirasikan industri Pengalaman menginspirasikan industri untuk:untuk: Menempatkan keamanan Menempatkan keamanan

pencegahan tindakan yang bertujuan pencegahan tindakan yang bertujuan untuk menghilangkan atau untuk menghilangkan atau mengurangi kemungkinan kerusakan mengurangi kemungkinan kerusakan atau kehancuran. atau kehancuran.

Menyediakan perusahaan Menyediakan perusahaan kemampuan untuk melanjutkan kemampuan untuk melanjutkan operasional setelah gangguan.operasional setelah gangguan.

Page 3: Information Security

5

Information SecurityInformation Security

►Keamanan sistemKeamanan sistem berfokus berfokus melindungi perangkat keras, data, melindungi perangkat keras, data, perangkat lunak, fasilitas komputer, perangkat lunak, fasilitas komputer, dan personal. dan personal.

► Keamanan informasiKeamanan informasi mendeskripsikan mendeskripsikan perlindungan baik peralatan komputer dan perlindungan baik peralatan komputer dan non-peralatan komputer, fasilitas, data, dan non-peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihak-informasi dari penyalahgunaan oleh pihak-pihak yang tidak berwenang. pihak yang tidak berwenang. Termasuk mesin fotokopi, fax, semua jenis Termasuk mesin fotokopi, fax, semua jenis

media, dokumen kertas media, dokumen kertas

Page 4: Information Security

6

Tujuan Keamanan SistemTujuan Keamanan Sistem

► Keamanan informasi ini dimaksudkan untuk Keamanan informasi ini dimaksudkan untuk mencapai tiga tujuan utama: mencapai tiga tujuan utama: Confidentiality:Confidentiality: Melindungi data perusahaan dan  Melindungi data perusahaan dan

informasi dari pengungkapan orang yang tidak berhak.informasi dari pengungkapan orang yang tidak berhak. Availability:Availability: Memastikan bahwa data perusahaan dan  Memastikan bahwa data perusahaan dan

informasi hanya tersedia bagi mereka yang berwenang informasi hanya tersedia bagi mereka yang berwenang untuk menggunakannya untuk menggunakannya

Integrity:Integrity: Sistem informasi harus memberikan Sistem informasi harus memberikan representasi akurat dari sistem fisik yang mereka representasi akurat dari sistem fisik yang mereka wakili. wakili.

► Sistem informasi perusahaan harus melindungi Sistem informasi perusahaan harus melindungi data dan informasi dari penyalahgunaan, data dan informasi dari penyalahgunaan, memastikan ketersediaan untuk pihak pengguna, memastikan ketersediaan untuk pihak pengguna, menampilkan keakuratannya. menampilkan keakuratannya.

Page 5: Information Security

7

Management of Information Management of Information SecuritySecurity

► Information security managementInformation security management ( (ISMISM) ) adalah Aktifitas untuk menjaga sumber daya adalah Aktifitas untuk menjaga sumber daya informasi tetap amaninformasi tetap aman

► Business continuity managementBusiness continuity management ( (BCMBCM) ) Adalah aktifitas menjaga fungsi perusahaan Adalah aktifitas menjaga fungsi perusahaan dan sumber informasi setelah sebuah dan sumber informasi setelah sebuah bencanabencana

► Corporate information systems security Corporate information systems security officerofficer ( (CISSOCISSO) adalah Bertanggung jawab ) adalah Bertanggung jawab atas keamanan sistem informasi perusahaanatas keamanan sistem informasi perusahaan

► Corporate information assurance officerCorporate information assurance officer ((CIAOCIAO) Melaporkan kepada CEO dan ) Melaporkan kepada CEO dan mengelola sebuah unit information assurancemengelola sebuah unit information assurance

Page 6: Information Security

8

Information Security Information Security ManagementManagement

► Terkait dengan perumusan kebijakan keamanan informasi Terkait dengan perumusan kebijakan keamanan informasi perusahaan. perusahaan.

► Pendekatan manajemen risiko berbasis keamanan sumber daya Pendekatan manajemen risiko berbasis keamanan sumber daya informasi perusahaan pada risiko (ancaman dikenakan) yang informasi perusahaan pada risiko (ancaman dikenakan) yang dihadapinya. dihadapinya.

► Information security benchmarkInformation security benchmark adalah tingkat keamanan adalah tingkat keamanan yang direkomendasikan bahwa dalam keadaan normal harus yang direkomendasikan bahwa dalam keadaan normal harus menawarkan perlindungan wajar terhadap gangguan yang tidak menawarkan perlindungan wajar terhadap gangguan yang tidak sah.sah. Benchmark adalah suatu tingkat kinerja yang Benchmark adalah suatu tingkat kinerja yang

direkomendasikandirekomendasikan Ditetapkan oleh pemerintah dan asosiasi industriDitetapkan oleh pemerintah dan asosiasi industri Wewenang apa diyakini sebagai komponen dari suatu program Wewenang apa diyakini sebagai komponen dari suatu program

keamanan informasi yang baik.keamanan informasi yang baik.► Kepatuhan Benchmark/Benchmark complianceKepatuhan Benchmark/Benchmark compliance adalah ketika adalah ketika

sebuah perusahaan mematuhi patokan keamanan informasi dan sebuah perusahaan mematuhi patokan keamanan informasi dan standar yang direkomendasikan oleh industri yang berwenang. standar yang direkomendasikan oleh industri yang berwenang.

Page 7: Information Security

9

Figure 9.1 Information Security Figure 9.1 Information Security Management (ISM) StrategiesManagement (ISM) Strategies

Page 8: Information Security

10

Ancaman/ThreatAncaman/Threat► Ancaman keamanan informasi adalah orang, Ancaman keamanan informasi adalah orang,

organisasi, mekanisme, atau peristiwa yang organisasi, mekanisme, atau peristiwa yang mempunyai potensi untuk menimbulkan kerugian mempunyai potensi untuk menimbulkan kerugian pada sumber daya informasi perusahaan. pada sumber daya informasi perusahaan.

► Internal and external threatsInternal and external threats Internal mencakup karyawan perusahaan, para pekerja Internal mencakup karyawan perusahaan, para pekerja

sementara, konsultan, kontraktor, dan bahkan mitra bisnis. sementara, konsultan, kontraktor, dan bahkan mitra bisnis. Sebesar 81% kejahatan komputer telah dilakukan oleh Sebesar 81% kejahatan komputer telah dilakukan oleh

karyawan. karyawan. ancaman internal berpotensi kerusakan lebih serius karenaancaman internal berpotensi kerusakan lebih serius karena

► Kebetulan dan disengajaKebetulan dan disengaja

Page 9: Information Security

11

Figure 9.2 Unauthorized Acts Figure 9.2 Unauthorized Acts Threaten System Security Threaten System Security

ObjectivesObjectives

Page 10: Information Security

12

Types of ThreatsTypes of Threats► Malicious softwareMalicious software(malware) terdiri dari program-program (malware) terdiri dari program-program

lengkap atau segmen kode yang dapat menyerang sistem dan lengkap atau segmen kode yang dapat menyerang sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem (yaitu, menghapus file, sistem berhenti, dll) sistem (yaitu, menghapus file, sistem berhenti, dll)

► Virus adalah program komputer yang dapat menggandakan Virus adalah program komputer yang dapat menggandakan dirinya sendiri tanpa dapat diamati pengguna dan dirinya sendiri tanpa dapat diamati pengguna dan menanamkan salinan dirinya dalam program lain dan boot menanamkan salinan dirinya dalam program lain dan boot sektor. sektor.

► WormWorm tidak dapat mereplikasi diri dalam suatu sistem, tetapi tidak dapat mereplikasi diri dalam suatu sistem, tetapi dapat mengirimkan copynya melalui e-mail. dapat mengirimkan copynya melalui e-mail.

► Trojan horseTrojan horse didistribusikan oleh pengguna sebagai utilitas didistribusikan oleh pengguna sebagai utilitas dan ketika utilitas yang digunakan, menghasilkan perubahan dan ketika utilitas yang digunakan, menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem; tidak dapat yang tidak diinginkan dalam fungsi sistem; tidak dapat mereplikasi atau menggandakan sendiri. mereplikasi atau menggandakan sendiri.

► AdwareAdware menghasilkan pesan iklan yang mengganggu menghasilkan pesan iklan yang mengganggu► SpywareSpyware mendapatkan data dari mesin pengguna mendapatkan data dari mesin pengguna

Page 11: Information Security

13

RisksRisks

►Risiko keamanan informasiRisiko keamanan informasi potensi potensi output yang tidak diharapkan dari output yang tidak diharapkan dari pelanggaran keamanan informasi oleh pelanggaran keamanan informasi oleh ancaman keamanan informasiancaman keamanan informasi semua risiko merupakan tindakan yang tidak sah semua risiko merupakan tindakan yang tidak sah

► Pengungkapan informasi yang tidak Pengungkapan informasi yang tidak terotorisasi dan pencurianterotorisasi dan pencurian

► Penggunaan yang tidak terotorisasiPenggunaan yang tidak terotorisasi► Penghancuran yang tidak terotorisasi dan Penghancuran yang tidak terotorisasi dan

penolakan layanan(Denial of Service)penolakan layanan(Denial of Service)► Perubahan yang tidak terotorisasiPerubahan yang tidak terotorisasi

Page 12: Information Security

14

E-commerce ConsiderationsE-commerce Considerations

► Disposable credit card/Kartu kredit “sekali Disposable credit card/Kartu kredit “sekali pakai”pakai”(AMEX) - suatu tindakan yang ditujukan (AMEX) - suatu tindakan yang ditujukan pada 60 sampai 70% dari konsumen yang takut pada 60 sampai 70% dari konsumen yang takut penipuan kartu kredit yang timbul dari penipuan kartu kredit yang timbul dari penggunaan internet. penggunaan internet.

► Visa's memerlukan 10 praktik keamanan bagi para Visa's memerlukan 10 praktik keamanan bagi para pengecer ditambah 3 praktik umum untuk pengecer ditambah 3 praktik umum untuk mencapai keamanan informasi di semua kegiatan mencapai keamanan informasi di semua kegiatan pengecer. pengecer.

► Cardholder Information Security ProgramCardholder Information Security Program ( (CISPCISP) ) ditambah praktek-praktek yang diperlukanditambah praktek-praktek yang diperlukan

Page 13: Information Security

15

Sepuluh Praktik Keamanan yang Sepuluh Praktik Keamanan yang dilakukan VISAdilakukan VISA

Retailer harus:Retailer harus:1.1. Memasang dan memelihara firewallMemasang dan memelihara firewall2.2. Memperbaharui keamananMemperbaharui keamanan3.3. Melakukan enkripsi pada data yang disimpanMelakukan enkripsi pada data yang disimpan4.4. Melakukan enkripsi pada data yang akan dikirimMelakukan enkripsi pada data yang akan dikirim5.5. Menggunakan dan memperbaharui piranti lunak antivirusMenggunakan dan memperbaharui piranti lunak antivirus6.6. Membatasi akses data kepada orang-orang yang ingin Membatasi akses data kepada orang-orang yang ingin

tahutahu7.7. Memberikan ID unik kepada setiap orang yang memiliki Memberikan ID unik kepada setiap orang yang memiliki

kemudahan mengakses datakemudahan mengakses data8.8. Memantau akses data dengan data ID unikMemantau akses data dengan data ID unik9.9. Tidak menggunakan kata sandi default yang disediakan Tidak menggunakan kata sandi default yang disediakan

oleh vendoroleh vendor10.10. Secara teratur menguji sistem keamananSecara teratur menguji sistem keamanan

Page 14: Information Security

16

Risk ManagementRisk Management

► Mendefinisikan resiko terdiri dari 4 tahapMendefinisikan resiko terdiri dari 4 tahap Identifikasi aset bisnis yang harus dilindungi dari resikoIdentifikasi aset bisnis yang harus dilindungi dari resiko Menyadari resikonyaMenyadari resikonya Menentukan tingkat dampak dalam perusahaan jika resiko Menentukan tingkat dampak dalam perusahaan jika resiko

benar-benar terjadibenar-benar terjadi Menganalisa kelemahan perusahaanMenganalisa kelemahan perusahaan

► Tingkat keparahan dampak dapat diklasifikasikan Tingkat keparahan dampak dapat diklasifikasikan sebagaisebagai Dampak yang parah(Severe impact)Dampak yang parah(Severe impact) membuat perusahaan membuat perusahaan

bangkrut atau sangat membatasi kemampuan perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsitersebut untuk berfungsi

Dampak minor(Dampak minor(Minor impact) Minor impact) menyebabkan kerusakan yang menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-harimirip dengan yang terjadi dalam operasional sehari-hari

Page 15: Information Security

17

Table 9.1 Degree of Impact and Table 9.1 Degree of Impact and Vulnerability Determine ControlsVulnerability Determine Controls

Page 16: Information Security

18

Risk Analysis ReportRisk Analysis Report

► Hasil temuan sebaiknya didokumentasikan dalam Hasil temuan sebaiknya didokumentasikan dalam laporan analisa resiko. Isi dari laporan ini sebaiknya laporan analisa resiko. Isi dari laporan ini sebaiknya mencakup informasi berikut inimencakup informasi berikut ini Deskripsi resikoDeskripsi resiko Sumber resikoSumber resiko Tingginya tingkat resikoTingginya tingkat resiko Pengendalian yang diterapkan pada resiko tersebutPengendalian yang diterapkan pada resiko tersebut Pemilik-pemilik resikoPemilik-pemilik resiko Tindakan yang direkomendasikan untuk mengatasi resikoTindakan yang direkomendasikan untuk mengatasi resiko Jangka waktu yang direkomendasikan untuk mengatasi Jangka waktu yang direkomendasikan untuk mengatasi

resikoresiko Apa yang telah dilaksanakan untuk mengatasi resiko Apa yang telah dilaksanakan untuk mengatasi resiko

tersebuttersebut

Page 17: Information Security

19

Kebijakan Keamanan Kebijakan Keamanan InformasiInformasi

►Lima phase implementasi kebijakanLima phase implementasi kebijakan Phase 1: Inisialisasi proyekPhase 1: Inisialisasi proyek Phase 2: Pengembangan kebijakan. Phase 2: Pengembangan kebijakan. Phase 3: Konsultasi dan persetujuan. Phase 3: Konsultasi dan persetujuan. Phase 4:Kesadaran dan edukasi. Phase 4:Kesadaran dan edukasi. Phase 5: Penyebarluasan kebijakan.Phase 5: Penyebarluasan kebijakan.

Page 18: Information Security

20

Figure 9.3 Development of Figure 9.3 Development of Security PolicySecurity Policy

Page 19: Information Security

21

Controls/PengendalianControls/Pengendalian

► Control Control adalah sebuah mekanisme yang adalah sebuah mekanisme yang diterapkan baik untuk melindungi diterapkan baik untuk melindungi perusahaan dari resiko atau untuk perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi.perusahaan jika resiko tersebut terjadi.

► Technical controlsTechnical controls adalah pengendalian adalah pengendalian yang menjadi satu di dalam sistem dan yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem.masa siklus penyusunan sistem. Termasuk internal auditor dalam project teamTermasuk internal auditor dalam project team Berdasarkan teknologi hardware dan softwareBerdasarkan teknologi hardware dan software

Page 20: Information Security

22

Technical ControlsTechnical Controls

► Access control Access control adalah dasar untuk adalah dasar untuk keamanan melawan ancaman yang keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak dilakukan oleh orang-orang yang tidak diotorisasidiotorisasi

► Access control dilakukan melalui proses tiga Access control dilakukan melalui proses tiga tahap yang mencakuptahap yang mencakup User identification.User identification. User authentication.User authentication. User authorizationUser authorization..

► Profil penggunaProfil pengguna- deskripsi pengguna yang - deskripsi pengguna yang terotorisasi; digunakan dalam identifikasi terotorisasi; digunakan dalam identifikasi dan authorisasidan authorisasi

Page 21: Information Security

23

Figure 9.4 Access Control Figure 9.4 Access Control FunctionsFunctions

Page 22: Information Security

24

Technical Controls (Cont’d)Technical Controls (Cont’d)

► Intrusion detection systemsIntrusion detection systems ( (IDSIDS) mengenali ) mengenali upaya pelanggaran keamanan sebelum memiliki upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakankesempatan untuk melakukan perusakan

► Perangkat lunak proteksi virus yang telah terbukti Perangkat lunak proteksi virus yang telah terbukti efektif melawan virus yang terkirim melalui emailefektif melawan virus yang terkirim melalui email Identifikasi pesan pembawa virus dan memperingatkan Identifikasi pesan pembawa virus dan memperingatkan

pengguna.pengguna.► Tools Prediksi ancaman dari dalamTools Prediksi ancaman dari dalam

mengklasifikasikan ancaman sebagai berikutmengklasifikasikan ancaman sebagai berikut Ancaman yang disengajaAncaman yang disengaja Potensi ancaman tidak disengajaPotensi ancaman tidak disengaja mencurigakanmencurigakan Tidak berbahaya(Harmless)Tidak berbahaya(Harmless)

Page 23: Information Security

25

FirewallsFirewalls► Firewall Firewall berfungsi sebagai penyaring dan penghalang yang membatasi berfungsi sebagai penyaring dan penghalang yang membatasi

aliran data ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall:aliran data ke dan dari perusahaan tersebut dan internet. Tiga jenis firewall:► Packet-filtering Packet-filtering router dilengkapi dengan tabel data dan alamat-alamat IP router dilengkapi dengan tabel data dan alamat-alamat IP

yang mgnggambarkan kebijakan penyaringan, jika diposisikan antara yang mgnggambarkan kebijakan penyaringan, jika diposisikan antara internet dan jaringan internal router tersebut dapat berlaku sebagai firewallinternet dan jaringan internal router tersebut dapat berlaku sebagai firewall Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringanRouter adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan Alamat IP(IP address)Alamat IP(IP address) adalah serangkaian empat angka(masing- adalah serangkaian empat angka(masing-

masinng 0 - 255) yang secara unik mengindentifikasikan masing-masing masinng 0 - 255) yang secara unik mengindentifikasikan masing-masing komputer yang terhubung ke internetkomputer yang terhubung ke internet

► Firewall tingkat sirkuit(Circuit-level firewall) Firewall tingkat sirkuit(Circuit-level firewall) terpasang antara internet terpasang antara internet dan jaringan perusahaan tapi lebih dekat dengan medium dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi(sirkuit) daripada routerkomunikasi(sirkuit) daripada router Memungkinkan tingkat otentikasi dan penyaringan yang tinggiMemungkinkan tingkat otentikasi dan penyaringan yang tinggi

► Firewall tingkat aplikasi Firewall tingkat aplikasi berlokasi antara router dan komputer yang berlokasi antara router dan komputer yang menjalankan aplikasi tersebutmenjalankan aplikasi tersebut Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.

Page 24: Information Security

26

Figure 9.5 Location of Firewalls Figure 9.5 Location of Firewalls in the Networkin the Network

Page 25: Information Security

27

Cryptographic and Physical Cryptographic and Physical ControlsControls

► Cryptography Cryptography adalah menggunakan pengkodean yang adalah menggunakan pengkodean yang menggunakan proses-proses matematikamenggunakan proses-proses matematika

► Data dan informasi dapat dienkripsi dalam penyimpanan dan juga Data dan informasi dapat dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan.ditransmisikan ke dalam jaringan.

► Jika seorang yang tidak memiliki otoritas memperoleh akses, enkripsi Jika seorang yang tidak memiliki otoritas memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.berarti apa-apa dan mencegah kesalahan penggunaan.

► Protocol khusus sepert Protocol khusus sepert SETSET(Secure Electronin Transactions) (Secure Electronin Transactions) melakukan pengecekan keamanan menggunakan tanda tangan melakukan pengecekan keamanan menggunakan tanda tangan digital dikembangkan dalam e-commercedigital dikembangkan dalam e-commerce

► Pelarangan teknologi enkripsi ke Cuba, Iran, Iraq, Libya, Korut, Sudan Pelarangan teknologi enkripsi ke Cuba, Iran, Iraq, Libya, Korut, Sudan dan Syriadan Syria

► Physical controls Physical controls melindungi dari gangguan yang tidak terotorisasi melindungi dari gangguan yang tidak terotorisasi seperti kunci pintu, cetak telapak tangan, voice print, kamera seperti kunci pintu, cetak telapak tangan, voice print, kamera pengawas dan penjaga keamanan.pengawas dan penjaga keamanan. Meletakkan pusat komputer ditempat terpencil yang jauh dari kota dan Meletakkan pusat komputer ditempat terpencil yang jauh dari kota dan

jauh dari wilayah yang sensitif terhadap bencana seperti gempa bumi, jauh dari wilayah yang sensitif terhadap bencana seperti gempa bumi, banjir dan badaibanjir dan badai

Page 26: Information Security

28

Formal ControlsFormal Controls

► Formal controlFormal control mencakup penentuan cara mencakup penentuan cara berperilaku, dokumentasi prosedur dan berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda serta pencegahan perilaku yang berbeda dari panduan yang berlakudari panduan yang berlaku Management memerlukan banyak waktu untuk Management memerlukan banyak waktu untuk

menyusunnya.menyusunnya. Mendokumentasikan dalam bentuk tertulisMendokumentasikan dalam bentuk tertulis Diharapkan dapat berlaku untuk jangka waktu Diharapkan dapat berlaku untuk jangka waktu

yang panjangyang panjang► Top management harus berpartisipasi aktif Top management harus berpartisipasi aktif

dalam menentukan dan memberlakukannyadalam menentukan dan memberlakukannya

Page 27: Information Security

29

Informal ControlsInformal Controls

►EdukasiEdukasi►Program pelatihanProgram pelatihan►Program pengembangan managementProgram pengembangan management►Pengendalian ini ditujukan untuk menjaga Pengendalian ini ditujukan untuk menjaga

agar para karyawan perusahaan agar para karyawan perusahaan memahami serta mendukung program memahami serta mendukung program keamanan tersebutkeamanan tersebut

Page 28: Information Security

32

Industry StandardsIndustry Standards

► Center for Internet Security (CIS)Center for Internet Security (CIS) adalah adalah organisasi nonprofit didedikasikan untuk organisasi nonprofit didedikasikan untuk membantu para pengguna komputer guna membantu para pengguna komputer guna membuat sistem mereka lebih aman.membuat sistem mereka lebih aman. CIS BenchmarksCIS Benchmarks membantu mengamankan membantu mengamankan

pengguna mengamankan sistem informasi dengan pengguna mengamankan sistem informasi dengan cara menerapkan pengendalian khusus teknologicara menerapkan pengendalian khusus teknologi

CIS Scoring ToolsCIS Scoring Tools memberi kemampuan bagi memberi kemampuan bagi pengguna untuk menghitung tingkat keamanan, pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolok ukur, dan membandingkannya dengan tolok ukur, dan menyiapkan laporan yang mengarahkan pengguna menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan dan administrator sistem untuk mengamankan sistemsistem

Page 29: Information Security

33

Professional CertificationProfessional Certification

►Dimulai tahun 1960 profesi IT mulai Dimulai tahun 1960 profesi IT mulai menawarkan program sertifikasi:menawarkan program sertifikasi: Information Systems Audit and Control Information Systems Audit and Control

AssociationAssociation ( (ISACAISACA)) International Information System Security International Information System Security

Certification ConsortiumCertification Consortium ( (ISCISC)) SANSSANS ( (SysAdmin, Audit, Network, SysAdmin, Audit, Network,

SecuritySecurity) ) InstituteInstitute

Page 30: Information Security

34

Business Continuity Business Continuity ManagementManagement

► Business continuity managementBusiness continuity management((BCMBCM) ) aktiaktiffiittas yang ditujukan untuk menentukan as yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem operasional setelah terjadi gangguan sistem informasiinformasi

► Aktifitas ini disebut Aktifitas ini disebut Perencanaan Perencanaan bencana(Disaster planning)bencana(Disaster planning), namun istilah , namun istilah yang lebih positif adalah yang lebih positif adalah Contigency PlanContigency Plan

► Contigency PlanContigency Plan merupakan dokumen tertulis merupakan dokumen tertulis formal yang menyebutkan secara detail formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan terjadi gangguan, atau ancaman gangguan pada operasional perusahaan.pada operasional perusahaan.